Zapobieganie siłowym atakom w Ubuntu: Fail2ban

   Fail2ban jest otwartoźródłowym programem do zapobiegania włamaniom. Można go zainstalować z Centrum oprogramowania Ubuntu.



    
   Fail2ban ma zastosowanie do zapobiegania atakom brute force i innym podejrzanym działaniom. Istotą jego jest blokowanie hostów wywołujących wiele błędów uwierzytelnienia.
   Fail2ban skanuje pliki dzienników (np. /var/log/auth.log, /var/log/apache/access.log) i czasowo lub na stałe blokuje adresy wywołujące błędy, aktualizując istniejące reguły zapory sieciowej. Fail2ban umożliwia łatwe określanie różnych działań, np. zablokowanie adresu IP przy użyciu iptables lub hostsdeny, bądź po prostu wysłanie powiadomienia na adres e-mail.
   Fail2ban zawiera filtry do obsługi różnych usług (sshd, apache, qmail, proftpd, sasl itd.), ale łatwo można go zmodyfikować. Wszystkie filtry i działania podane są w plikach konfiguracyjnych, dzięki czemu Fail2ban można przystosować do użycia z wieloma różnymi programami i zaporami.
   Domyślnie Fail2ban zawiera zestaw predefiniowanych filtrów dla różnych usług. Więc nie ma potrzeby wprowadzania żadnych zmian w plikach konfiguracyjnych.
   Dostosowanie Fail2ban do szczególnych, indywidualnych wymagań przedstawia Senthilkumar.
   Autorem programu jest Ciril Jaquier.

   PS. Po opublikowaniu powyższego ukazała się przejrzysta instrukcja konfiguracji programu Fail2ban w języku polskim.

Senthilkumar

Senthilkumar

Senthilkumar

By default, fail2ban contains set of predefined  filters for various services. So you don’t need to enter any manual entries in the configuration files. All you need to do is just change the values of enabled to true or false, the respective services are automatically watched by fail2ban.
Here is sample output of SSH section in jail.local file. By default, it is enabled and turned on, so you don’t need to change anything.
- See more at: http://www.unixmen.com/how-to-prevent-ssh-brute-force-attacks-with-fail2ban-on-debian-7/#sthash.aMqOUivy.dpuf